Depuis l'entrée en vigueur de l'article 24 du Cbw en 2024-2025, la question des sujets de sécurité que doivent connaître les dirigeants n'est plus académique. Les membres du conseil et le top management sont personnellement responsables de la gouvernance cyber, et leur formation doit refléter cette responsabilité : pas un détail opérationnel, mais un pilotage stratégique, un arbitrage des risques et un comportement en crise. Que faut-il y inclure en 2026 ?
Pourquoi la formation du conseil diffère de celle des collaborateurs
Un collaborateur apprend à repérer le phishing et à agir face à un mot de passe volé. Un membre du conseil apprend autre chose : piloter le risque cyber, quelles questions poser à son CISO, comment co-décider lors d'un incident, et quelle responsabilité il porte.
L'article 24 du Cbw rend la formation du conseil légalement obligatoire pour les entités essentielles et importantes. La responsabilité est personnelle.
Une bonne formation du conseil n'est donc pas un cours abrégé pour collaborateurs, mais un parcours dédié, axé sur la décision et la surveillance.
Les sept sujets qui s'imposent en 2026
Top sept utilisable pour la formation du conseil :
- Gouvernance cyber et responsabilité.
- Analyse et acceptation du risque.
- Paysage des menaces en grand format.
- Réponse aux incidents au niveau du conseil.
- Paysage de conformité.
- Gouvernance IA.
- Reporting et tableaux de bord.
Ce qui n'a pas sa place dans la formation du conseil
Quelques sujets qui apparaissent souvent mais ne devraient pas :
Détails techniques des chaînes d'attaque.
Procédures opérationnelles de réponse.
Simulations de phishing sans contexte.
Exercices tabletop : l'élément le plus puissant
L'élément le plus efficace n'est pas l'e-learning mais un tabletop. Un facilitateur expose un scénario et le conseil prend les décisions en temps réel.
Trois bénéfices : repérer où le processus décisionnel cale, exercer la cohésion sous pression, construire un langage commun.
Cadence raisonnable : deux tabletops par an.
Communication et porte-parole en crise
Souvent sous-estimé : comment communiquer pendant et après un incident ?
Trois principes : court, honnête, consolidé. Un seul porte-parole, sans messages contradictoires.
Sous le Cbw : notification dans les 24/72 heures. Ne pas attendre tous les faits.
Comment ancrer cela dans un programme de sensibilisation
Structurel, pas ponctuel.
Module de base annuel (45-60 min) sur gouvernance, menaces, conformité, reporting.
Deux tabletops par an, scénarios variés, facilités par un tiers.
Lettre trimestrielle du CISO au conseil.
Administration démontrable : complétion par membre, dates, versions.
Découvrez comment 2LRN4 traduit ce sujet en un programme opérationnel avec formation, simulation de phishing et reporting pour la direction.
Voir la page NIS2Articles connexes
- Cbw article 24 : formation du conseil
- Qu'est-ce que la loi néerlandaise sur la cybersécurité (Cbw) ?
- Reporting au conseil pour la sensibilisation
- Exigences de conformité
Sources
- Cyberbeveiligingswet (texte officiel, NL)
- Directive NIS2 (EUR-Lex)
- World Economic Forum: cybersecurity board toolkit
FAQ
Quels sujets dans la formation du conseil sous le Cbw art. 24 ?
Gouvernance, risque, menaces, réponse, conformité, gouvernance IA, reporting. Pas de détails opérationnels.
Différence avec la formation des collaborateurs ?
Collaborateurs : reconnaître et agir. Conseil : piloter, décider, surveiller.
Qu'est-ce qu'un tabletop ?
Exercice structuré avec scénario de crise. Composant le plus efficace. Deux par an recommandés.
Le conseil doit-il savoir comment fonctionne un ransomware ?
En grand format oui, technique non.
Différence Cbw art. 24 vs art. 21 ?
Article 24 cible le conseil ; article 21 vise tous les collaborateurs.
À quelle fréquence ?
Base annuelle, deux tabletops, mise à jour CISO trimestrielle.
Responsabilité personnelle ?
Oui, sous Cbw art. 24. Documentation = défense.
Source externe : European Commission - NIS2 Directive